Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:Worm/IrcBot.39673.1
Entdeckt am:28/06/2008
Art:Worm
Nebenart:IRCBot
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig
Statische Datei:
Dateigre:~ 40.000 Bytes
IVDF Version:7.00.05.18 - Samstag, 28. Juni 2008

 General Verbreitungsmethoden:
    Messenger


Alias:
   •  Kaspersky: Backdoor.Win32.IRCBot.duc
   •  Eset: a variant of Win32/Injector.BB trojan


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • nderung an der Registry
   • Ermglicht unbefugten Zugriff auf den Computer


Nach Aktivierung wird folgende Information angezeigt:


 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\wksvcsc.exe

 Registry Einer der folgenden Werte wird dem Registry key hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows UDP Control Services"="wksvcsc.exe"

 IRC Um Systeminformationen zu bermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: **********.bihsecurity.com
Port: 1868
Passwort des Servers: asd
Channel: #!amt!
Nickname: [00|GBR|027146]
Passwort: openclub


 Des Weiteren besitzt die Malware die Fhigkeit folgende Aktionen durchzufhren:
     mit IRC Server verbinden
    • Datei herunterladen
    • Registry editieren
    • IRC Chatraum betreten
    • IRC Chatraum verlassen
     Aktualisiert sich selbst

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Alexander Neth am Dienstag, 1. Juli 2008
Die Beschreibung wurde geändert von Alexander Neth am Dienstag, 1. Juli 2008

zurück . . . .